企业组网方案.docx

PAGE \* MERGEFORMAT 21 企业组网方案  虽说干的是信息化智能化的行当，但每个IT工程师都必定踩过“IT系统不智能”的坑。就拿企业组建局域网来说，为了对网络接入用户身份进行确认，确保用户权限不受办公地点变更的影响，许多IT工程师都习惯开启 “手动模式”和苦逼的“加班模式”。 其实，企业组建局域网的配置也是有“套路”的。IT新人也能现学现用，轻松几步，教你飞速提高企业网络准入的安全性。 方案规划 对于企业IT工程师来说，什么样的企业网络是我们需要的呢，是快捷，还是安全，让我们来想象一下。 员工入职即生成个人账户，一套账户“走遍天下”，包含接入网络，OA，内网，ERP，甚至打印和复印等； 支持多个终端，在手机、笔记本、台式机上登录，不论在公司什么位置，你有拥有相同的网络权限； 员工调岗或者更换部门，仅需再组织架构中进行调整，这个“新”员工自动获取新部门的网络权限； 员工离职，仅需要将账号“一键禁用”。好了，所有的权限都关了，“苍蝇”你都别想飞进来。 有句话说“理想很丰满，现实很骨干‘’，但是我在这里想说，这都不是梦，资深IT来告诉你理想的实现方法。? 架构图 基于802.1x协议，实现端口访问控制和认证； 搭建Windows Server系统环境，实现AD+DHCP+DNS，这部分搭建网上大把大把的教程，这部分忽略不在进行赘述； NPS（Radius），用户认证管理管理； 选择支持802.1x协议认证网络设备，实现动态VLAN实现获得各终端网络登录具有各自网络权限。 组网环境（试验样例，最终根据自己实际情况决定） 服务器?  Cisco网络设备?  客户端网络?  重点1：调整用户所在安全组后，如何继承了划分VLAN的网络权限？? 答：在核心网络交换机中把划分的VLAN一定要对应到用户所在安全组，如上图。 方案实施 本文主要介绍关键配置：有线网络设备上开启802.1X认证和认证服务器NPS(Radius)的配置，其他搭建过程请参照文章底部附录。 1.接入交换机（WS-C2960X-48LPS-L）开启802.1x认证，以Cisco 2960为例（注：不同IOS版本命令略有差异） 第一步：进入配置模式开启802.1x认证、指定radius-server aaa new-model ! 启用 aaa aaa authentication dot1x default group radius ! dot1x使用radius做认证 aaa authorization network default group radius ! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有 dot1x system-auth-control ! 允许802.1x port-based 认证 dot1x guest-vlan supplicant ! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlan radius-server host IP auth-port 1812 acct-port 1813 key Password ! 指定radius服务器IP、端口号和进行交互的使用的密码 radius-server retry method reorder! 允许有多个radius服务器冗余切换radius-server timeout 10 ! 指定radius服务认证超时时间 重点2：不同用户安全组如何获得动态VLAN地址？ 答：把预规划好的所有VLAN配置到每台接入交换机和无线AC控制器上，并在核心交换机中配置指向到DHCP服务器地址 。 第二步：进入网络端口下启用802.1x配置 interface GigabitEthernet1/0/46 switchport mode access ! dot1x指定vlan, switchport mode必须为access switchport voice vlan 195! dot1x指定语音vlan authentication event fail action authorize vlan 107! 认证失败获得隔离vlan authentication event no-response action authorize vlan 107! 认证无响应获得隔离vlan authentication port-control auto! 端口认证控制 authentication timer inactivity 30! 认证响应超时 dot1x pae authenticator! 认证端口开启 2.NPS（Radius）策略配置（注意了！这个方案最重要的12步，一定要注意！） a.使用配置向导